Effektiv, zuverlässig, einfach zu nutzen

Wie gut, dass es so tolle sicherheitssoftwäre wie das wördpress-addon „WordPress BulletProof Security“ gibt. Einfach installieren, einmal klick klick durchkonfigurieren und gut, so das versprechen. Und da draußen laufen massenhaft leute rum, die an solche versprechungen glauben. Die werden sich demnächst vielleicht über den möglichen XSS-angriff, die SQL-injection und die möglichkeit, den websörver für abfragen externer datenbanken zu „benutzen“ freuen.

Aber jetzt die gute nachricht für nutzer: die fehler sind in der aktuellen versjon gefixt. Und das aktualisieren geht ja klick klick, also los! Eine gewisse skepsis gegen das versprechen einfach zu erzielender sörversicherheit zu entwickeln, wäre aber auch angebracht.

„Disqus“-kommentarscheiße des tages

Nicht nur, dass es scheiße gegenüber lesern ist, wenn man ihnen anstelle einer vernünftigen kommentarmöglichkeit mit diesem „disqus“-kwatsch kommt… nein, das wördpress-plackin hatte auch gleich mehrere sicherheitslücken. Mit dem eingebauten subsystem für leserkommentare wäre das nicht passiert…

Und hej, hallo?! Das einbinden von etwas javascript ist so schwierig, dass man dabei sicherheitsrelevante fehler verbaut, die unter umständen sogar die übernahme des blogs ermöglichen? Das müssen ja echte spezjalexperten bei „disqus“ sein! Ich wünsche dummbloggern weiterhin viel spaß dabei, ihre kommunikazjon mit ihren lesern ohne not diesen spezjalexperten anzuvertrauen.

WordPress.com des tages

Wördpress.com so: Nehmen wir den bloggern doch einfach mal den skrollbalken im integrierten editor weg. So setzt sich die ungute tradizjon von wördpress fort: unnütze funkzjonen mit riesen aufwand in javascript kohden, und nützliche funkzjonen mit riesen aufwand entfernen, selbst wenn es sich um grundfunkzjonalität des brausers handelt — und was das editieren von text betrifft: selbst der MS/DOS-editor zu versjon 5.2 (sowieso eine der besten MS/DOS-versjonen) hatte einen skrollbalken. Ist ja auch gut, um in längeren texten schnell an die gewünschte stelle zu kommen. Nein, es handelt sich nicht um einen fehler, es ist absicht.

Und wisst ihr, wie die bei wordpress.com auf diese wie aus dem tollhaus tolle GUI-idee gekommen sind? Unter anderem, weil das so besser bedienbar auf wischofonen und wischopädds sein soll. Großes kino! Das ist ja genau das, womit man beim bloggen seine texte schreibt. Weils so komfortabel ist.

Und das beste daran: mit der näxsten wördpress-versjon kommen wohl alle in diesen genuss. Bäh!

Ich hatte mal wegen eines kompjuterausfalls für ein paar wochen das vergnügen, meine paar blogs mit der wördpress-äpp bedienen zu „dürfen“. Ich war froh, als diese zeit vorbei war¹. Aber wenn ich die äpp benutze, sehe ich ja auch nicht das bäckend von wördpress, sondern eben eine (durchaus auf den krüppelkompjutern brauchbare) äpp-GUI, und die kann ja auch gut an die andere bedienung angepasst sein. Diese änderung ist also für leute, die unbedingt und trotz besserer alternativen mit einem wischosmartdingsda bloggen wollen, aber zu doof sind, zu kapieren, was der zweck einer guten äpp für diesen zweck ist. Das ist die neue zielgruppe von wördpress.

Wenns internetz im händi ist, ists gehirn im arsch.

¹Nur das für schnelles „wegbloggen“ gemachte und stark vereinfachende desein meines ollen blahblogs hatte sich in dieser zeit bewährt.

Warnung! 0day-exploit in WP-erweiterung TimThumb

Nachtrag: „TimThumb“ ist gefixt. Also los, setzt in der konfigurazjon WEBSHOT_ENABLED auf false und holt euch die aktuelle versjon!

Benutzt noch jemand da draußen „TimThumb“ — trotz seiner mittlerweile beachtlichen geschichte größerer sicherheitsprobleme? Wenn ja: sofort raus mit dem scheißteil! Das ding ermöglicht — mindestens dann, wenn man auch „WebShots“ in der konfigurazjon freigeschaltet hat — die ausführung beliebiger befehle mit den berechtigungen des websörvers. Und zwar auf kinderleichte weise. Und ebenfalls betroffen könnten — ich sage das jetzt aus dem bauch heraus — folgende erweiterungen sein, die zum teil den gleichen kohd wie „TimThumb“ nutzen: „WordThumb“, „WordPress Gallery Plugin“ und „IGIT Posts Slider“. Im zweifelsfall lieber erstmal abschalten, bis klar ist, dass die dinger unbedenklich sind oder bis gefixt wurde.

Wördpress ist der neue jornalismus!!elf!

Fast jeder Euro für Technik und Design ist vergeudet. Um besseren Online-Journalismus zu machen, reicht ein Standard-Wordpress mit einem netten Theme voll und ganz aus

[Sorry für die überschrift, aber es hat mich gejuckt…]

Wer so etwas schreibt, hat niemals in seinem leben die kwal gehabt, ein wördpress-blog zu betreiben, das auch eine menge leser hat. Dieses moppelchen geht so schnell in die knie.

Gefällt mir nicht

Hej, wördpress.com, ich beklag mich ja gar nicht. Ich blogge hier kostenlos, und du probierst immer wieder mal den aktuellen stand deiner beta-strokelware hier an richtig vielen anwendern aus, damit eine gute blogsoftwäjhr entsteht. Das kann man durchaus so machen…

Aber was hast du dir dabei gedacht, einfach die grinsefrätzchen auszutauschen gegen solche, die beschissener aussehen.

Hier das neue zwinkermännchen: 😉

Hier der neue lachemännchen: 😀

Und das neue lachehart ist voll misslungen: 😆

Kommt, WP.com, das nicht nicht :twisted:, das ist 👿 und überhaupt nicht 😎 — macht mal die alten dinger zurück!

(Aber ich befürchte, die neuen werden auch in der neuen wördpress-versjon drinnestecken. Weil… ähm… ja, weil sie neu sind.)

Wördpress-ALARM des tages

So eine pingback-funkzjon ist schon toll, vor allem für böswillige häcker, die ein wördpress-blog aus dem netz kegeln wollen. Dazu sucht man sich einfach eine liste von wördpress-blogs zusammen — zur vereinfachung dieses vorgangs steht ja (fast) immer schön <meta name="generator" ... im kwelltext — und sendet jedem dieser wördpress-blogs so dreihundert bytes XML-daten, dass die zielseite des angriffs einen link gesetzt hat und gibt dazu eine URI der verlinkenden seite an. Das wördpress-blog sendet daraufhin einen rekwest nach der URI, der in diesem gefälschten pingback angegeben wurde. Natürlich hängt man da immer ein paar hübsche parameter dran, so dass kein caching möglich ist, und schon hat man es mit (leicht in einer sekunde zu versendenden) rd. 20.000 bytes geschaft, eine zielseite mit hundert rekwests zu beschäftigen. Da freut sich das moppelchen wördpress, wenn es dafür jedesmal seine zwanzig SQL-abfragen macht, weil caching verhindert man ja.

Dass es möglich ist, als einzeltäter ganz ohne botnetz mit handelsüblichen progrämmchen wie… sagen wir mal… curl und einem kleinen shellskript ein blog aus dem web zu kegeln, ist vermutlich die wördpress-sicherheitskatastrofe des jahres. Jeder vierjährige, auf dem pisspott sitzende nachwuxhäcker kann das. Da man nicht allzuviel datendurchsatz benötigt, hängt man noch sein TOR als socks-sörver dazwischen, so dass die bei den missbrauchten wördpress-blogs geloggten IP-adressen keine einfache identifikazjon zulassen. Auch dazu dürfte jedes kind imstande sein.

Abhilfe ist gar nicht so einfach. Alle anfragen kommen von völlig unverdächtigen adressen, auf rDNS würde ich mich niemals verlassen wollen. Man kann natürlich die pingbacks abstellen… das geht (in einem deutschen wördpress) unter „Einstellungen ▷ Diskussion“ durch enfernen des häkchens vor „Erlaube Link-Benachrichtigungen von anderen Weblogs“. Das problem dabei ist, dass diese einstellungen nicht pro blog gelten, sondern pro beitrag, dass also alle bisherigen einträge bearbeitet werden müssten, was unerfreulich ist. Wer keine softwäjhr (wie wpcmd) zum bloggen benutzt, kann natürlich einfach seine xmlrpc.php umbenennen und ist dann gegen den einfachen angriff etwas sicherer, der websörver muss sich dann nur noch um die vielen 404er-fehler kümmern — die übrigens auch über wördpress ausgeliefert werden. Etwas radikaler ist eine rewrite-rule in der .htaccess (achtung, das ist völlig ungetestet und ohne blick in die dokumentazjon formuliert!):

RewriteEngine On
RewriteCond %{THE_REQUEST} "POST /xmlrpc.php HTTP/1.0" [NC] 
RewriteRule (.*) - [F]

Letztlich werden sich die wördpress-entwickler etwas gegen dieses problem einfallen lassen müssen. Ich sage der zeit, in der sich blogs einfach untereinander ihre verlinkungen mitteilen konnten, schon leise tschüss — es bleibt ja immer noch der handbetrieb im kommentarbereich. Der automatismus führt zurzeit leider nur zu einer echokammer für destruktive idjoten.

Nachtrag:Disable XML-RPC Pingback“ sollte helfen. 😉

Oh, den fehler in wördpress 3.7

Oh, den fehler in wördpress 3.7 habe ich gar nicht bemerkt, weil ich niemals diesen bloatigen javascriptigen WYSIWYG-editor verwende, sondern lieber HTML tippe. Das scheint ja bei vielen wördpress-entwicklern ganz ähnlich zu sein, denn sonst wäre ein solcher fehler bei eingefügten bildern mit bildunterschriften doch wohl früh entdeckt worden — oder anders gesagt: die verbauen da funkzjonalität, die sie selbst niemals nutzen würden…

WordPress 3.7

Die aktualisierung einer handvoll blogs auf wördpress 3.7 verlief erfreulich problemlos — trotz eines gewissen plackin-apparates und… im falle einiger seits… eher obskurer kleiner häcks.

Aber muss dieses moppelchen… moment mal… *tackertacker*

ich@server $ du -hs wordpress
18M     wordpress
ich@server $ find wordpress -name '*.js' | wc -l
265
ich@server $ find wordpress -name '*.js' | xargs cat | wc -l
42276

…18 mebibyte kohd haben, nur damit man den nächsten beitrag schreiben kann? Bedarf es dafür 42276 zeilen javascript in 265 javascript-dateien? Das ganze ding ist einfach nur krank, und es wird mit jeder neuen versjon ein bisschen kranker.

Na ja, wenigstens werden die wichtigsten JS-biblioteken nicht über guhgell eingebunden, sondern lokal gehostet… 😉

Korrigiertes blah-archiv zum daunlohd

Meine erste versjon des archivs vom blah-blog hatte leider den nachteil, dass die interne navigation wegen einiger sonderzeichen in dateinamen mit meikrosoft windohs nicht funkzjonierte. Dieses problem habe ich (endlich) gefixt, eine korrigierte versjon des archivs kann heruntergeladen werden.

Es handelte sich übrigens um eine frische, neue wördpress-„eigenart“.

Ich fertige so ein archiv an, indem ich…

  1. …das blog lokal aufsetze, also im SQL-dump der datenbank den domainnamen gegen den lokalen pfad im websörver ersetze und das blog im lokalen websörver betreibe,
  2. …lokal das desein anpasse, um alles zu entfernen, was in einer archiv-versjon sinnlos wäre, und schließlich, indem ich
  3. …dieses lokale blog einmal mit wget spiegele und wget die ganzen absolut gesetzten links in relativ gesetzte links verwandeln lasse — ein vorgang, der wegen des abrufs jeder einzelnen ansicht eines blogs ziemlich lange dauert, vor allem bei schlagwort-reichen blogs wie dem blahblog.

Technische anmerkung — Wer es noch nie gemerkt hat: wördpress verwendet ausschließlich absolute links, was beim umzug eines blogs oder beim anlegen eines archives immer wieder probleme macht. Das hat einen grund: die pfade der blogansichten im websörver sind frei konfigurierbar, und die beiträge stehen in HTML in der datenbank und werden einfach in die generierten seiten geschaufelt. Würden dabei relative links verwendet, müsste wördpress alle links anpassen, damit ein link auf absolut /2011/09/13/test/ sowohl aus der startseite, als auch in der schlagwort-ansicht unter /tag/test/page/3/, als auch in der jahresansicht unter /2011/page/19/ als auch in diversen anderen ansichten eines blogs funktioniert. Wenn man nur über dieses problem nachdenkt, bekommt man schnell kopfschmerzen — wördpress ist hier, wie so oft, einen pragmatischen weg gegangen, der schnell und einfach zum ziel führt. Und, wie so oft bei wördpress, führt dieser pragmatismus manchmal zu problemen…

Der beschriebene wget-krampf ist eine möglichkeit, die probleme beim anlegen eines archives zu lösen. Am ende habe ich dann ein zwar ziemlich redundantes, aber navigierbares archiv eines wördpress-blogs in form von statischen HTML-dateien für jede blog-ansicht. Und das mit erfreulich wenig aufwand, einfach, indem ich vorhandene mittel benutze…

Dieses verfahren, das ich vorher schon einige male durchgezogen habe, hat beim blahblog allerdings nicht funkzjoniert. Und ich stand vor einem rätsel. Wget war zwar so „freundlich“, alle dateien abzuholen, aber die dateinamen verlinkter dateien wurden geändert, nachdem sie heruntergeladen wurden.

Ich bin einfach nicht darauf gekommen, was das für ein verdammtes Problem war.

Nun, wenn man nicht mehr weiterweiß oder nicht mehr weiterkommt, ist — nach ein paar tagen abstand — immer ein guter moment gekommen, auch mal die dokumentazjon zu lesen. In der wget-dokumentation fand ich die info, dass wget nicht nur den gewöhnlichen links folgt, sondern auch in die HTML-kopfzeilen nach <link>-angaben schaut.

Tja, und dieses verkackte wördpress schreibt seit ein paar versjonen unter anderem folgendes in die kopfzeilen jeder einzelnen generierten datei:

<link rel="shortlink" href="startseite-des-blogs?p=4711" />

Wget ist daraufhin so „nett“, die datei umzubenennen und erzeugt mit einen dateinamen mit einem fragezeichen, der probleme bereitet… 😦

Und ich suche und suche und suche nach dem fehler… 😦

Nun gut, man kann wördpress dieses verhalten zum glück abgewöhnen. 🙂

Der einfachste weg ist es, die folgende zeile in die functions.php des verwendeten deseins aufzunehmen:

remove_action ("wp_head", "wp_shortlink_wp_head", 10, 0);

Ich hoffe, dass dieser kleine hinweis anderen hilft, die gerade gegen die gleiche scheiße kämpfen — die idee, ein archiv eines blogs in statischen HTML-seiten anzulegen, ist ja durchaus naheliegend.

Wördpress 3.6

Juchu, wördpress, das sind die fietschers, auf die ich so lange gewaret habe:

Das Update der beliebten Blogging-Plattform bringt unter anderem einen neuen Media-Player mit, der auf HTML5 basiert. Ferner lässt sich direkt und schnell Musik von Rdio, Spotify und Soundcloud einbinden

Nicht. Irgendwelche funkzjonen für die dienste kommerzjeller anbieter gehören meiner meinung nach nicht in den kern, sondern in eine erweiterung — sonst stinkt der kern des systems nach reklame. Einmal ganz davon abgesehen, dass ich es noch nie sonderlich kompliziert fand, den embed-kohd über die zwischenablage zu kopieren. Aber ich nutze ja auch nicht diesen WYSIAYG-editor („what you see is all you get“)…

Reklame für fragwürdige kontentklitschen in den kern aufnehmen, aber die links abschaffen, damit dafür fortan ein benutzerdefiniertes menü verwendet werden muss. (Zumindest war das die absicht und schon ein neu installiertes 3.5 hatte keine link-verwaltung mehr.) Ich könnte von morgens bis abends kotzen, wenn ich diese beglückungsideen der wördpress-entwickler sehe.

Immerhin hat die entwicklung diesmal schön lange gedauert, was grund zur hoffnung gibt, dass es sich nicht um so eine bananensoftwäjhr wie damals zu zeiten der 2.5er handelt. Aber für die letzten von mir selbst verantworteten seits warte ich erstmal die möglichen katastrofenmeldungen der nächsten tage ab. Kein drängendes problem zu haben, dass den appgräjhd erzwingt, ist angenehm.

Für alle, die einen appgräjhd mit einem klick aus der bäckend machen: Mit einem zu engen speicherlimit für PHP gibt es zumindest manchmal probleme und es kommt nur zu einem halben appgräjhd. (Das habe ich jedenfalls eben in einer lokalen testumgebung festgestellt, die ein memory_limit von 64M hatte. Mit 128M kam es nicht zu diesem problem. Wer seine php.ini selbst bearbeiten kann, weiß, was er zu tun hat, ansonsten gibts bei diesem problem entweder den anruf beim hoster oder das aufspielen der neuen versjon über FTP und das anschließende anstoßen des appgräjhds. Das geht übrigens auch fühlbar schneller. Warum man für einen wördpress-prozess nicht mehr mit 64 megabytes auskommt, gehört zu den fragen, die den wördpresss-entwicklern gestellt werden sollten. Es hat halt seinen preis, wenn der kern immer moppeliger wird, obwohl ein großteil der funkzjonalität von einem großteil der nutzer nicht benötigt wird — deshalb gibt es ja eigentlich auch eine erweiterungsschnittstelle…)

Im moment ist aber auch eine zeit…

Statistiken von antispam bee, mit starkem spämmaufkommen in den letzten fünf tagen.

Im moment ist aber auch eine zeit, in der die kommentarspämmer sich so richtig austoben. Diese grafik kommt aus „unser täglich spam“. Dort hat die „antispam bee“ in den letzten fünf tagen nur einen idjotenkommentar durchgelassen, den ich von hand löschen musste, und es gab keine einzige fehlerkennung eines richtigen kommentars. Wenn ich das mit den ganz besonderen „freuden“ vergleiche, die ich hier bei wordpress.com immer wieder mit akismet, dem bösen kommentarfresser habe, der mich zurzeit jeden tag ein paarmal auf löschen klicken lässt… und auch immer wieder einmal auf „hey, du idjotensoftwäjhr, das war keine spämm“, dann schneidet die biene im moment, in einer wahren spamflut, deutlich besser ab.

Linkt doch localhost!

Ich habe eben die erste beta von wördpress 2.4 3.4¹ ausprobiert — natürlich auf einen lokalen websörver, da ich bei wördpress schon mit einer offizjellen veröffentlichung sehr vorsichtig bin. Tatsächlich hat sich aus nutzersicht so wenig geändert, dass man den versjonssprung kaum bemerkt.

Was ich allerdings bemerkt habe, sind die „eingehenden links“ zu meinem blog, das im internetz gar nicht sichtbar ist:

Bildschirmfoto der eingehenden links einer lokalen wördpress-installazjon

Hej, ihr webdesein-gurus! Verlinkt doch alle localhost! So habe ich wenigstens etwas zu lachen, während ich mich mit dem üblichen mist herumschlage.

¹Unfassbar, dass ich nicht einmal mehr eine versjonsnummer richtig getippt kriege…

Dear WordPress makers…

Fine!

After years of making your (still great) blogging software to a tiny, but in some special cases absolutely useful CMS, after foozling and bloating the formerly clean dashboard with every new release, after implementing loads of functionality in the WP core many people do not need, instead of coding it in plugins, you finally noticed that blogging — that funny write-a-new-post-thing — has become a hard job for novice or less experienced users. And so you implemented — after all these years of chaos and intimidation in the user interface and some weird experiments in WP 2.5 — a plain, reduced view of the new post editor without this overwhelming amount of configuration options (but still with a incredibly high server-side resource consumption) for the coming version of WP.

That’s a great idea. As I can see on WordPress.com, you’ve done it rather well. It looks nearly like the thing I always talked about — until I’d to notice that nobody listens to users…

For me, you are a little late. I prefer to use my own wee command line client and my favorite text editor for blogging — this is a kind of convenience simply unobtainable for an application running in a browser.

For the great majority of user it is still a great and… ehm… overdue relief.

And now do something against this unbeliefable bloat! Make it possible again, that a WordPress blog can handle the petty little matter of 2,000 readers a day without caching plugins, make WordPress to a blogging platform suitable for a blog with readers again! Being read is the other part of blogging…

Still a little discontented 😉
Elias / Elijahu / Goebelmasse